国家标准 GB/T30272一2013 信息安全技术公钥基础设施标准一致性测试评价指南 ntomationseeurityteehmolwgy一Publickeylnrastrweture Testingandevaluationguideonstandardconformmance 2013-12-31发布 2014-07-15实施国家质量监督检验检疫总局发布国家标准化管理委员会国家标准
GB/T30272一2013 目次前言引言范围规范性引用文件术语和定义公钥基础设施测试评价指南在线证书状态协议测试评价指南 4.2证书管理协议测试评价指南 4.3 PI组件最小互操作规范鹉试详价指南 6 4.4数字证书格式测试评价指南 4.5特定权限管理中心技术规范测试评价指南 25 4.6时间戳规范测试评价指南 29 综合评价 38 公钥基础设施测试环境示例 39 附录A(资料性附录)测试项目总表
GB/T30272一2013 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位;公安部计算机信息系统安全产品质量监督检验中心本标准主要起草人:邱梓华、,顾健、张笑笑、顾玮、邹春明,宋好好、张艳、张岚
GB/T30272一2013 引言本标准是用以指导测试评价者,如何测试与评价公钥基础设施是否达到国家标准要求本标准依据国家已颁布、实施的6个公钥基础设施标准,即 GB/T19713一2005信息技术安全技术公钥基础设施在线证书状态协议 GB/T19714一2005信息技术安全技术公钥基础设施证书管理协议信息技术安全技术公钥基础设施PKI组件最小互操作规范 GB/T197712005 GB/T20518一2006信息安全技术公钥基础设施数字证书格式 GB/T20519-2006信息安全技术公钥基础设施特定权限管理中心技术规范信息安全技术公钥基础设施时间戳规范 GB/T205202006 本标准以此6个标准为基础,对相应评价测试方法做了详细描述对以后新发布的公钥基础设施标准规范,将在修改版本中给出
GB/I30272一2013 信息安全技术公钥基础设施标准一致性测试评价指南范围本标准规定了公钥基础设施相关组件的测试评价指南,涉及CA、RA、终端实体、证书资料库、时间戳子系统、特定权限管理子系统、在线证书状态查询子系统本标准适用于按照GB/T19713一2005,GB/T19714一2005,G;B/T19771一2005,GB/T20518 2006,GB/T20519一2006和GB/T205202006进行研制开发的产品类公钥基础设施相关组件的测试和评价规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T19713一2005信息技术安全技术公钥基础设施在线证书状态协议 GB/T19714一2005信息技术安全技术公钥基础设施证书管理协议 GB/T19771一2005信息技术安全技术公钥基础设施PK1组件最小互操作规范 GB/T205182006信息安全技术公钥基础设施数字证书格式 GB/T20519一2006信息安全技术公钥基础设施特定权限管理中心技术规范 GB/T20520-2006信息安全技术公钥基础设施时间戳规范术语和定义 GB/T197132005,GB/T197142005,GB/T197712005、GB/T20518一2006,GB/T20519 2006和GB/T205202006界定的术语和定义适用于本文件公钥基础设施测试评价指南 4.1在线证书状态协议测试评价指南 4.1.1总则 4.1.1.1请求评价内容见GB/T19713一2005中5.2的内容对开发者的要求开发者应提供文档,对所使用的在线证书状态协议进行说明 a 开发者应提供工具模拟不满足条件的请求 b 测试评价指南
GB/T30272一2013 由OCSP请求者发送多个不同状态证书的状态请求,检测OCSP响应器是否提供了正确的证书状态响应; 检测ocsP请求是否包含以下数据,协议颁布、服务请求,目标证书标识符、其他扩展数据如 b OcsP请求者的签名、随机数等); c)使用工具发送不正确报文格式的请求,检测OCsP响应器是否发出错误信息; d 使用工具发送响应器没有配置所要求服务的请求,检测0CSP响应器是否发出错误信息 e 使用工具发送不完整信息的请求,检测OCSP响应器是否发出错误信息记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.1.1.2响应评价内容见GB/T197132005中5.3的内容对开发者的要求开发者应提供文档,对响应签名的密钥,响应消息格式,响应消息内容等进行说明测试评价指南 a)模拟各种身份的OcSP请求者,发送多个不同状态证书的状态请求,OcSP响应请求,检测此过程中是否对所有明确的响应报文都进行数字签名 b 检测响应签名的密钥是否为下列三种情况之签发待查询证书的CA: 1 2) 可信赖的响应器,即请求者信任该响应器的公钥 CA指定的响应器 3 由OcSP请求者发送多个不同状态证书的状态请求,检测OcSP响应器的响应消息中是否包含以下内容: 响应语法的版本; 响应器的名称; 对请求中每个证书的响应 37 可选择的扩展; 4 57 签名算法的OD, 67 响应的哈希签名 d 检测对请求中每个证书的响应,是否包含以下内容: 1 目标证书标识符; 证书状态值: 2 3 响应有效期限; 可选的扩展 4 检测OcSP响应消息中,证书状态值是否为以下三种响应标识符 Good,表示对状态查询的肯定响应; 1 2)Revoked(已撤销),表示证书已被撤销; Unknown(未知)表示不能鉴别待验证状态的证书 3 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.1.1.3异常情况评价内容
GB/I30272一2013 见GB/T19713一2005中5.4的内容对开发者的要求开发者应提供文档,对ocsP响应器返回的错误消息进行说明 a b 开发者应提供工具模拟各种异常情况测试评价指南使用工具发送一个没有遵循OcSP语法的请求,检测0cSP响应器是否发出相应的错误 a 信息 b)使响应器处于非协调的工作状态,发送一个正常请求,检测OCSP响应器是否发出相应的错误信息使响应器处于不能返回所请求证书的状态,发送一个证书请求,检测oCSP响应器是否发出相应的错误信息; 使用工具发送一个没有签名的请求,检测OcSP响应器是否发出相应的错误信息 d e)使用工具发送一个未授权的请求,检测OcSP响应器是否发出相应的错误信息记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.1.1.4thisUpdate,nextUpdate和producedAt的语义评价内容见GB/T197132005中5.5的内容对开发者的要求开发者应提供文档,对thisUpdate,nexUpdat和podiedAt的语义进行说明测试评价指南发送多个证书请求,检测OcSP响应消息是否包含以下时间字段 1 thisUpdate;此次更新时间 2 nextUpdate(可选字段);下次更新时间;若没有设置此字段,需指明随时可以获得更新的撤销信息: 3)producedAt:签发时间记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.1.1.5ocsP签名机构的委托评价内容见GB/T197132005中5.7的内容对开发者的要求开发者应提供文档.对所使用的在线证书状态协议中OCsP签名机构的委托过程进行说明测试评价指南如果签署证书状态信息的密钥与签署证书的密钥不同,由CA向响应器签发一个含有extendl edKeyUsage唯一值的证书; 发送一个证书状态查询请求,检测响应器能否用上述证书对证书状态信息进行签名 b 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.1.1.6CA密钥泄露评价内容
GB/T30272一2013 见GB/T19713一2005中5.8的内容对开发者的要求开发者应提供文档,对CA密钥泄露时OcCSP响应器的设置进行说明测试评价指南 a在OCSP响应器中,将某一个CA的状态设置为私钥泄露; 发送一个上述cA签发的证书状态查询请求,检测ocSP响应器能否返回证书已撤销的状态 b 信息记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.1.2功能要求 4.1.2.1证书内容评价内容见GB/T19713一2005中6.1的内容对开发者的要求开发者应提供文档,对CA的证书相关内容进行说明测试评价指南检测CA是否在AccessDeseripionsEQUENCE中包含URIaccessL.ocation值和对象标识符 a id-adocsp b 检测OCSP响应器的访问位置,是否通过以下两种方式之一给出: 1在证书扩展项中提供用于OcSP访问的Authoritylnfo.A Access 2)在OCSP客户端配置记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.1.2.2签名响应的接收要求评价内容见GB/T19713一2005中6.2的内容对开发者的要求开发者应提供文档,对所使用的在线证书状态协议进行说明测试评价指南检测在把OCSP响应视作有效之前,OCSP客户端是否确认以下内容 a)响应中所鉴别的证书和请求中的证书一致; 响应器的签名是有效的 b 响应器的签名者身份和请求的预定接收者一致 c d)签名者已被授权对响应进行签名指明证书状态的时间(thisUpdate)为当前最近的时间 e) 如果设置了nextUpdate字段,此时间晚于客户端当前时间 f 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.1.3安全考虑评价内容
GB/I30272一2013 见GB/T19713一2005中第8章的内容对开发者的要求开发者应提供文档,对所使用的在线证书状态协议进行脆弱性分析测试评价指南: 查看开发者提供的脆弱性分析报告,检测OcCSP系统能否抵御标准中的相关攻击至少应该包括拒绝服务攻击和重放攻击) 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.2 证书管理协议测试评价指南 4.2.1必需的PKI管理功能 4.2.1.1根CA初始化评价内容见GB/T19714一2005中8.1的内容对开发者的要求开发者应提供文档,针对根CA初始化的过程进行说明测试评价指南根据开发者文档,产生一对根CA的密钥对,并将密钥对分散保存,检测根密钥的保存方式是否安全; 选择此密钥对进行根CA初始化,用产生的私钥为公钥签发证书,产生自己的自签名证书,检测这个证书的结构是否和“newwithNew”证书结构相同为CA的公钥产生一个指纹,并检测传递指纹的数据结构是否为ooBCertHash 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.2.1.2根CA密钥更新评价内容见GB/T19714一2005中8.2的内容对开发者的要求开发者应提供文档,针对根CA密钥更新的过程进行说明测试评价指南在CA的生命周期到期前,模拟一次根CA密钥更新的过程; 产生新的根CA的密钥对; 产生一个用新私钥为旧公钥签名的证书(“oldwithnew"”证书); 产生一个用旧私钥为新公钥签名的证书(“newwithold”证书); 产生一个用新私钥为新公钥签名的证书(“newwithnew”证书) 发布这些新证书导出CA的新公钥 g h 使用CA的新密钥为一个终端实体签发一个新证书利用CA旧公钥的终端实体,验证上述新证书,检测验证者是否进行以下操作;在数据库中查找caCerifeate属性,获得NewwithOld证书,并利用CA旧密钥验证该Newwitho)d证书是否正确,如果正确,利用CA新密钥验证新证书;
GB/T30272一2013 利用CA新公钥的终端实体,验证CA旧密钥签发的旧证书,检测验证者是否进行以下操作在数据库中查找caCertificeate属性,获得OldwithNew证书,并利用CA新密钥验证该Old withNew证书是否正确,如果正确,利用CA旧密钥验证旧证书记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.2.1.3下级CA初始化评价内容见GB/T19714一2005中8.3的内容对开发者的要求开发者应提供文档,针对下级CA初始化的过程进行说明测试评价指南在下级cA初始化之前,检谢下级cA能否获得以下PKI信息 a 当前根cA的公钥,并使用哈希值对根cA公钥进行带外验证; 撇销列表以及撒销列表的认证路径 2 3)所支持的每一种相关应用的算法和算法变量模拟一次下级CA初始化的过程;产生下级CA密钥,利用根证书产生下级CA的签名证书 b 产生初始的撤销列表记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.2.1.4CRL产生评价内容见GB/T197142005中8.4的内容对开发者的要求开发者应提供文档,针对CRL产生的过程进行说明测试评价指南 a)在发布证书之前,在新建立CA中产生空的CRL列表; b检测能否操作成功记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.2.1.5K1信息请求评价内容见GB/T19714一2005中8.5的内容对开发者的要求开发者应提供文档,针对PKI信息请求进行说明测试评价指南评价者模拟各种PKI信息请求,检测CA是否能够向请求者提供至少请求者要求的所有请求信息,如果某些信息不能提供,CA是否给请求者返回错误信息; 检测文档是否和标准的规定一致 b 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足
GB/T30272一2013 4.2.1.6交叉认证评价内容见GB/T19714一2005中8.6的内容对开发者的要求开发者应提供文档,针对交叉认证过程进行说明测试评价指南: 评价者模拟一次交叉认证过程: a)新建三个CA系统,分别命名为A、B,C; 分别使用三个cA系统签发三个证书,分别命名为;a,b.e b 以CA系统A为请求者,CA系统B为响应者,进行交叉认证操作,检测操作过程和消息结构是否符合标准要求; 在拥有证书b的终端实体上,使用交叉认证证书验证证书a,应能验证成功在拥有证书b的终端实体上,验证证书c,验证应不成功 e 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果系统提供交叉认证功能,以上结果全部正确,则本项满足;如果系统不提供交叉认证功能,在此项不作为最终结果的判断依据 4.2.1.7终端实体初始化 4.2.1.7.1获得PK1信息评价内容见GB/T19714一2005中8.7.1的内容对开发者的要求开发者应提供文档,针对终端实体初始化过程中的“获得PKI1信息”这一步骤进行说明测试评价指南在终端实体初始化之前,检测能否获得以下PKI信息当前根CA的公钥 a b撤销列表以及撤销列表的认证路径所支持的每一种相关应用的算法和算法变量 c 记录调试结果并对该结果是否完全符合上述渊试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.2.1.7.2根CA密钥的带外验证评价内容见GB/T19714一2005中8.7.2的内容对开发者的要求开发者应提供文档,针对终端实体初始化过程中的“根CA密钥的带外验证”这一步骤进行说明测试评价指南检测系统是否能够通过一些安全的“带外”方法给终端实体提供CA的证书指纹记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足
GB/T30272一2013 4.2.1.8证书请求评价内容: 见GB/T19714一2005中8.8的内容对开发者的要求; 开发者应提供文档,针对证书模板和证书请求进行说明测试评价指南: 检测经过初始化的终端实体是否能够请求一个额外的证书: a)对每一种证书模板,选择一个经过初始化的终端实体,提出证书请求; b 检测这个请求是否使用认证请求(e)消息; 检测能否返回新的证书 d选择一个已经拥有一对签名密钥(带有相应的验证证书)的终端实体,提出证书请求; 检测请求(er)消息是否使用此实体的数字签名来保护; e 检测能否返回新的证书; g检查文档是否和标准的规定一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.2.1.9密钥更新评价内容见GB/T19714一2005中8.9的内容对开发者的要求开发者应提供文档,针对密钥更新进行说明测试评价指南 a)在终端实体的证书将要过期前,评价者模拟密钥更新的过程检查文档是否和标准的规定- b 致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.2.2传输评价内容见GB/T19714-2005中第9章的内容对开发者的要求开发者应提供文档,说明在EE、RAs、CAs之间传输PKI消息的传输协议和消息格式测试评价指南 a)如果PKI消息通过文件传输,检测PKI消息的格式是否符合标准要求; 如果PKI消息通过TCP管理协议传输,检测PKI消息的格式是否符合标准要求; b) e)如果PK1消息通过E-mail方式传输,检测PKI消息的格式是否符合标准要求 d)如果PKI消息通过HTTP方式传输,检测PKI消息的格式是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果系统支持的每种传输方式的消息格式和传输协议均符合标准要求,则本项满足 4.2.3必选的K1管理消息结构 4.2.3.1初始的注册/认证(基本认证方案) 评价内容
GB/I30272一2013 见GB/T19714一2005中B.4的内容对开发者的要求开发者应提供文档,说明初始的注册/认证的消息格式测试评价指南: 通过未初始化的终端实体向CA请求第一个证书,根据开发者所提供的文档,检测终端实体和PKI 之间的通信消息是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.2.3.2证书请求评价内容见GB/T19714一2005中B,5的内容对开发者的要求开发者应提供文档,说明证书请求的消息格式测试评价指南: 通过已经初始化的终端实体向CA请求证书,根据开发者所提供的文档,检测终端实体和PKI之间的通信消息是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.2.3.3密钥更新请求评价内容见GB/T19714一2005中B.6的内容对开发者的要求开发者应提供文档.说明密钥更新请求的消息格式测试评价指南在密钥即将过期前,通过已经初始化的终端实体向CA请求证书(用于更新密钥对和/或已经拥有的相应证书),根据开发者所提供的文档,检测终端实体和PKI之间的通信消息是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3PKI组件最小互操作规范测试评价指南 4.3.1PK组件规范 4.3.1.1证书认证机构(CA 4.3.1.1.1颁发数字签名证书评价内容见GB/T197712005中5.2.2a)的内容对开发者的要求开发者应提供文档,针对数字签名证书的颁发进行说明测试评价指南: 对每一种证书模板,通过授权RA产生多个签名数字证书请求,并发送给CA,检测CA能否生 a
GB/T30272一2013 成新证书并将其放在资料库中; b)通过非授权RA产生一个签名数字证书请求,并发送给CA,检测CA能否拒绝该证书申请,能否向RA报告失败并说明原因; 通过授权RA产生一个包含不匹配信息的签名数字证书请求,并发送给CA,检测cA能否拒绝该证书申请,能否向RA报告失败并说明原因对每一种证书模板,产生多个自我注册的证书请求,并发送给CA,检测CA是否验证请求者的身份并验证申请者的相应私钥,如果验证成功,检测CA能否生成新证书并将其放在资料库中;如果验证失败,检测CA能否拒绝该证书申请,能否向申请者报告失败并说明原因对每一种证书模板,产生多个更新的证书请求,并发送给CA,检测CA是否验证请求者的身份,如果验证成功,检测cA能否生成新证书并将其放在资料库中;如果签名无效或者CA策略不允许更新,检测cA能否拒绝该证书更新请求,并向申请者报告失败并说明原因以非法的请求者产生一个更新的证书请求,检测CA能否拒绝该证书更新请求,能否向申请者报告失败并说明原因记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.1.1.2颁发加密证书评价内容见GB/T19771一2005中5.2.2b)的内容对开发者的要求开发者应提供文档,针对加密证书的颁发进行说明测试评价指南 a)由第三方集中产生加密密钥对,并通过带外方式提供给CA b 由证书持有者生成多个加密证书请求,说明自己想要的加密算法,并对该请求进行数字签名将该请求发送给CA; 检测CA能否验证请求者身份,并颁发加密证书和加密密钥给请求者记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.1.1.3交叉认证评价内容见GB/T19771一2005中5.2.2c)的内容对开发者的要求开发者应提供文档,针对CA间的交叉认证进行说明测试评价指南在两个交叉认证的CA之间交换CA的公钥,分别为对方的公钥生成证书,并将其存放到资料库中; b 检测双方之间的证书能否交叉认证记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果系统提供交叉认证功能,以上结果全部正确,则本项满足;如果系统不提供交叉认证功能,在此项不作为最终结果的判断依据 4.3.1.1.4撤销证书评价内容 10o
GB/I30272一2013 见GB/T19771一2005中5.2.2d)的内容对开发者的要求开发者应提供文档,针对证书的撤销进行说明测试评价指南: 以多个证书持有者身份请求撤销证书,并将请求发送给CA,检测CA是否验证请求者身份,验证成功后能否将证书放人CRL中; 检测新的cRL产生时,老RL中的全部信息是否放到新CRL中 b 通过RA向CA发送多个证书撤销请求,检测CA是否验证请求者身份,验证成功后能否将证书放人CRL中记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.1.1.5请求cA证书评价内容见GB/T19771一2005中5.2.2f)的内容对开发者的要求开发者应提供文档,针对向更高层次CA申请证书进行说明测试评价指南通过CA向层次更高的CA申请证书,检测能否申请成功记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.1.2注册机构RA 评价内容见GB/T19771一2005中5.3的内容对开发者的要求开发者应提供文档,针对RA的操作规范进行说明测试评价指南 a)针对每一种证书模板,向RA提交多个CertReq格式的证书请求检测RA是否审查请求者的身份; b 检测RA是否确认请求者是否拥有相应的完整的密钳对; d)验证通过后,检测RA能否抽取公钥信息并用RA的名字和签名建立一个新的CertReq消息; 检测RA能否将新的CertReq消息发送给CA; 如果证书请求被接受,检测RA能否接收CA颁发的新证书,并将新证书发送给请求者如果证书请求被拒绝,检测RA能否审查从CA发来的错误代码; 中 h向RA提交多个证书撒销请求,检测RA是否验证请求者身份,并产生新的RevReq消息; 检测RA能否将新的RevReq消息发送给CA; 如果证书撤销请求被接受,检测RA能否接收CA回应的RevReq消息,能否将此信息提交给请求者如果证书撤销请求被拒绝,检测RA能否审查错误代码,并再次产生撤销请求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 11
GB/T30272一2013 4.3.1.3证书持有者规范评价内容见GB/T19771一2005中5.4的内容对开发者的要求开发者应提供文档,针对证书持有者规范进行说明测试评价指南以多个用户身份申请签名证书,检测能否成功申请并且获取证书; a b)以多个用户身份申请加密证书,检测能否成功申请并且获取证书以多个证书持有者身份,申请撤销签名证书,检测能否成功撤销证书 c d以多个证书持有者身份,申请更新签名证书,检测能否成功更新证书记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.1.4客户规范评价内容见GB/T197712005中5.5的内容对开发者的要求开发者应提供文档,针对客户规范进行说明测试评价指南 a)验证客户能否验证签名; b)验证客户能否从查询服务器检索证书和CRLs 验证客户能否验证证书认证路径 c) 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2数据格式 4.3.2.1证书撤销列表评价内容见GB/T19771一2005中6.3的内容对开发者的要求开发者应提供文档,针对证书撤销列表的格式进行说明测试评价指南: a)由CA颁发证书撤销列表; b 下载证书撤销列表,检测证书撤销列表的格式是否符合标准要求; 多次进行上述操作记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2.2事务消息格式 4.3.2.2.1全体PKI消息组件评价内容 12
GB/I30272一2013 见GB/T19771一2005中6.5.2的内容对开发者的要求开发者应提供文档,针对PKI消息的格式进行说明测试评价指南: ,body.protection.extrCerts字段)的格式是根据开发者提供的文档,检测PKI消息(包括header、否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2.2.2通用数据结构评价内容: 见GB/T197712005中6.5.3的内容对开发者的要求开发者应提供文档,针对证书模板、签名私钥的拥有证明,证书请求消息,协议加密密钥控制、PK 消息状态码、失败信息、确认协议、证书识别,CentrallyGeneratedKeys和带外信息的格式进行说明测试评价指南 a)根据开发者提供的文档,检测证书模板的消息格式是否符合标准要求; b) 根据开发者提供的文档,检测签名私钥的拥有证明消息格式是否符合标准要求; 根据开发者提供的文档,检测证书请求的消息格式是否符合标准要求 c) 根据开发者提供的文档,检测协议加密密钥控制的消息格式是否符合标准要求; d 根据开发者提供的文档,检测PKI消息状态码的消息格式是否符合标准要求; 根据开发者提供的文档,检测失败信息的消息格式是否符合标准要求; 根据开发者提供的文档,检测确认协议的消息格式是否符合标准要求; g 根据开发者提供的文档,检测证书识别的消息格式是否符合标准要求; h 根据开发者提供的文档,检测CentrallyGeneratedKeys的消息格式是否符合标准要求; D 根据开发者提供的文档,检测带外信息的消息格式是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2.2.3特殊操作的数据结构评价内容见GB/T197712005中6.5.4的内容对开发者的要求开发者应提供文档,针对注册/证书请求、注册/证书响应、撤销请求的内容、撤销响应内容、 PKCS#10证书请求的消息格式进行说明测试评价指南 a)根据开发者提供的文档,检测注册/证书请求的消息格式是否符合标准要求; b根据开发者提供的文档,检测注册/证书响应的拥有证明消息格式是否符合标准要求; 根据开发者提供的文档,检测撤销请求的内容的消息格式是否符合标准要求; c d)根据开发者提供的文档,检测撤销响应内容的消息格式是否符合标准要求; 根据开发者提供的文档,检测PKCS#10证书请求的消息格式是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 13
GB/T30272一2013 4.3.2.3K1事务 4.3.2.3.1RA发起的注册请求评价内容见GB/T197712005中6.6.2的内容对开发者的要求如果产品支持远端RA,则开发者应提供文档,针对RA发起的注册请求进行说明测试评价指南 a)根据开发者提供的文档,对每一种证书模板,在远端RA上向CA请求多个终端实体的证书; b) 检测从RA到CA的证书请求消息的格式是否符合标准要求; c 检测从CA到RA的证书回应消息的格式是否符合标准要求; 检测确认消息的格式是否符合标准要求 dD 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2.3.2新实体的自我注册请求评价内容见GB/T197712005中6.6.3的内容对开发者的要求如果CA接受自我注册请求,则开发者应提供文档,针对新实体的自我注册请求进行说明测试评价指南根据开发者提供的文档,对每一种证书模板,以多个新实体身份直接向CA申请新的证书; b检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求; 检测从CA到证书请求者的自我注册请求回应消息的格式是否符合标准要求; c 检测确认消息的格式是否符合标准要求 d 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2.3.3已知实体的自我注册请求评价内容见GB/T19771一2005中6.6.4的内容对开发者的要求如果CA接受自我注册请求,则开发者应提供文档,针对已知实体的自我注册请求进行说明测试评价指南 a根据开发者提供的文档,对每一种证书模板,以多个已知实体身份直接向cA申请新的证书 b)检测从证书持有者到cA的自我注册请求消息的格式是否符合标准要求检测从CcA到证书请求者的自我注册请求回应消息的格式是否符合标准要求; c) d)检测确认消息的格式是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2.3.4证书更新评价内容 14
GB/T30272一2013 见GB/T19771一2005中6.6.5的内容对开发者的要求如果CA的CPS支持证书更新,则开发者应提供文档,针对证书的更新进行说明测试评价指南: 根据开发者提供的文档,对每一种证书模板,以多个拥有当前有效证书的实体身份直接向CA 申请新的证书 b)检测从证书持有者到CA的证书更新申请消息的格式是否符合标准要求检测从CA到证书持有者的自证书更新响应消息的格式是否符合标准要求; d)检测确认消息的格式是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2.3.5PKCS井10自我注册请求评价内容见GB/T197712005中6.6.6的内容对开发者的要求如果CA接受自我注册请求,则开发者应提供文档,针对PKCS井10自我注册请求进行说明测试评价指南根据开发者提供的文档,对每一种证书模板,以多个新实体身份直接向CA申请新的PKCS#10 证书; 检测从证书持有者到cA的自我注册请求消息的格式是否符合标准要求 b 检测从CA到证书请求者的PKCS证书请求响应消息的格式是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2.3.6撤销请求评价内容见GB/T197712005中6.6.7的内容对开发者的要求开发者应提供文档,针对撒销请求进行说明测试评价指南: a)根据开发者提供的文档,以多个拥有当前有效证书的实体身份直接申请撤销自己的证书; b 检测从证书持有者到RA的撤销请求消息的格式是否符合标准要求; 检测从RA到CA的撤销请求消息的格式是否符合标准要求; dD 检测从CA到RA的撤销响应消息的格式是否符合标准要求; 检测从RA到证书持有者的撤销响应消息的格式是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2.3.7集中产生密钥对和密钥管理证书申请评价内容见GB/T19771一2005中6.6.8的内容对开发者的要求 15
GB/T30272一2013 开发者应提供文档,针对集中产生密钥对和密钥管理证书申请进行说明测试评价指南: 根据开发者提供的文档,以多个拥有当前有效证书的实体身份向CA申请产生加密密钥并签发证书; 检测集中产生密钥对申请消息的格式是否符合标准要求 b 检测集中产生密钥对回应消息的格式是否符合标准要求 d)检测确认消息的格式是否符合标准要求记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.3.2.3.8 组合证书申请评价内容见GB/T197712005中6.6.9的内容对开发者的要求如果CA支持组合证书,则开发者应提供文档,针对组合证书申请进行说明测试评价指南根据开发者提供的文档,以多个新实体身份向CA申请组合证书;一个签名密钥证书和加密证书; b)检测组合证书申请消息的格式是否符合标准要求; 检测组合证书回应消息的格式是否符合标准要求; 检测确认消息的格式是否符合标准要求 d 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4数字证书格式测试评价指南 4.4.1基本证书域的数据结构评价内容见GB/T20518一2006中5.2.1的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: a)对每一种证书模板,使用公钥基础设施颁发多个数字证书检测所颁发数字证书的基本数据结构是否和标准一致 b 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.2TBsCertifieate及其数据结构 4.4.2.1版本 version 评价内容见GB/T20518一2006中5.2.2.1的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明 16
GB/T30272一2013 测试评价指南: 检测所颁发数字证书中是否包含版本项; a b)检测证书中版本项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.2.2序列号serialnumber 评价内容: 见GB/T20518一2006中5.2.2.2的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南" 检测所颁发数字证书中是否包含序列号项; a 检测证书中序列号项的格式,内容是否和标准 b 一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.2.3签名算法signature 评价内容见GB/T20518一2006中5.2.2.3的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南 a)检测所颁发数字证书中是否包含签名算法项 b)检测证书中签名算法项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.2.4颁发者issuer 评价内容见GB/T205182006中5.2.2.4的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南 a)检测所颁发数字证书中是否包含颁发者项; b检测证书中颁发者项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.2.5有效期validity 评价内容见GB/T20518一2006中5.2.2.5的内容对开发者的要求 17
GB/T30272一2013 开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: 检测所颁发数字证书中是否包含有效期项; a b)检测证书中有效期项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.2.6主体subjeet 评价内容: 见GB/T205182006中5.2.2.6的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南检测所朋发数字证书巾是青包含主体项， a 检测证书中主体项的格式、内容是否和标准一致 b 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.2.7主体公钥信息subjeetPublicKeyInfo 评价内容见GB/T20518一2006中5.2.2.7的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南 a)检测所颁发数字证书中是否包含主体公钥信息项; b检测证书中主体公钥信息项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.2.8颁发者唯一标识符IsserUniqueD 评价内容见GB/T205182006中5.2.2.8的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南检测所颁发数字证书中是否未包含颁发者唯一标识符项; a b)记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.2.9主体唯一标识符SuhjeetUniqueID 评价内容见GB/T20518一2006中5.2.2.9的内容对开发者的要求 18
GB/I30272一2013 开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: 检测所颁发数字证书中是香未包含主体唯一标识符项记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3证书扩展项 4.43.1标准扩展 4.4.3.1.1颁发机构密钥标识符authorityKeyldentifier 评价内容见GB/T20518一2006中5.2.3.2.1的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南 a)检测所颁发数字证书中是否包含颁发机构密钥标识符项; b) 检测证书中颁发机构密钥标识符项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.2主体密钥标识符subjectkKeyldentifier 评价内容见GB/T20518-2006中5.2.3.2.2的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: 检测所颁发数字证书中是青包舍主体密钥标识符项， a b)检测证书中主体密钥标识符项的格式、,内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.3密钥用法keyUsage 评价内容: 见GB/T20518一2006中5.2.3.2.3的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: 检测所颁发数字证书中是否包含密钥用法项 a b检测证书中密钥用法项的格式.内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确.则本项满足 4.4.3.1.4扩展密钥用途extKeyUsnge 评价内容 19
GB/T30272一2013 见GB/T20518一2006中5.2.3.2.4的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: a)如果公钥基础设施支持扩展密钥用途扩展项,则此项为检测项,否则为非检测项 b检测所颁发数字证书中是否包含扩展密钥用途项; 检测证书中扩展密钥用途项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.5私有密钥使用期privateKeyUsagePeriod 评价内容见GB/T205182006中5.2.3.2.5的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南 a)如果公钥基础设施支持私有密钥使用期扩展项,则此项为检测项,否则为非检测项 b)检测所颁发数字证书中是否包含私有密钥使用期项检测证书中私有密钥使用期项的格式,内容是否和标准一致 c 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.6证书策略certificateroliecies 评价内容见GB/T20518-2006中5.2.3.2.6的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南 a)检测所颁发数字证书中是否包含证书策略项; b检测证书中证书策略项的格式,内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.7策略映射polieyNappings 评价内容见GB/T20518一2006中5.2.3.2.7的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: 如果公钥基础设施支持策略映射扩展项,则此项为检测项,否则为非检测项; b)检测所颁发数字证书中是否包含策略映射项; 检测证书中策略映射项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断 20
GB/T30272一2013 如果以上结果全部正确,则本项满足 44.3.1I.8主体替换名称stjetAta ame 评价内容见GB/T20518一2006中5.2.3.2.8的内容对开发者的要求: 开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: 如果证书中的唯一主体身份是一个选择名称格式如一个电子邮件地址),主体的甄别名为空序列,则本项为检测项目,否则为非检测项; b 一致检测证书中主体替换名称项的格式.内容是否和标准- 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.9颁发者替换名称issuerAItName 评价内容见GB/T20518一2006中5.2.3.2.9的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南 a)如果公钥基础设施支持颁发者替换名称扩展项,则此项为检测项,否则为非检测项; b)检测所颁发数字证书中是否包含颁发者替换名称项检测证书中颁发者替换名称项的格式、内容是否和标准一致 c) 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.10主体目录属性subjeetDireetoryAttributes 评价内容见GB/T205182006中5.2.3.2.10的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南 a)如果公钥基础设施支持主体目录属性扩展项,则此项为检测项,否则为非检测项 b检测所颁发数字证书中是否包含主体目录属性项 c 检测证书中主体目录属性项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.11基本限制basieConstraints 评价内容见GB/T20518一2006中5.2.3.2.11的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明 21
GB/T30272一2013 测试评价指南: 检测所颁发数字证书中是否包含基本限制项 a b 检测证书中基本限制项的格式.内容是否和标准- -致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.12名称限制 nameConstraints 评价内容见GB/T205182006中5.2.3.2.12的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: a)如果公钥基础设施支持名称限制扩展项,则此项为检测项,否则为非检测项; b)检测所颁发数字证书中是否包含名称限制项; 检测证书中各称眼制项的格式.内容是青和标准- 一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.13策略限制polieyConstraints 评价内容见GB/T20518一2006中5.2.3.2.13的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: a如果公钥基础设施支持策略限制扩展项,则此项为检测项,否则为非检测项 b)检测所颁发数字证书中是否包含策略限制项; 检测证书中策略限制项的格式、内容是否和标准一致 c 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.43.1.14证书撤销列表分发点CRLDistributionPoints 评价内容见GB/T20518一2006中5.2.3.2.14的内容对开发者的要求开发者应提供文档.针对所颁发的数字证书格式进行说明测试评价指南 a如果公钥基础设施支持证书撤销列表分发点扩展项,则此项为检测项,否则为非检测项， b)检测所颁发数字证书中是否包含证书撤销列表分发点项; 检测证书中证书撤销列表分发点项的格式,内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.15限制所有策略inhitbitAnyPoliey 评价内容 22
GB/I30272一2013 见GB/T20518一2006中5.2.3.2.15的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: a)如果公钥基础设施支持限制所有策略扩展项,则此项为检测项,否则为非检测项 b检测所颁发数字证书中是否包含限制所有策略项; 检测证书中限制所有策略项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.16最新证书撤销列表freshestCRL 评价内容见GB/T205182006中5.2.3.2.16的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南 a)如果公钥基础设施支持最新证书撤销列表扩展项,则此项为检测项,否则为非检测项; b)检测所颁发数字证书中是否包含最新证书撤销列表项检测证书中最新证书撤销列表项的格式,内容是否和标准一致 c 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足个人身份标识码IdentifsCode 4.4.3.1.17 评价内容见GB/T20518一2006中5.2.3.2.17的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南 a)如果公钥基础设施支持个人身份标识码扩展项,则此项为检测项,否则为非检测项; b 检测所颁发数字证书中是否包含个人身份标识码项; e)检测证书中个人身份标识码项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.18个人社会保险号InsuraneeNumber 评价内容见GB/T20518一2006中5.2.3.2.18的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南如果公钥基础设施支持个人社会保险号扩展项,则此项为检测项,否则为非检测项 a b检测所颁发数字证书中是否包含个人社会保险号项; 检测证书中个人社会保险号项的格式、内容是否和标准一致 23
GB/T30272一2013 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.19企业工商注册号ICRegistrationNumber 评价内容见GB/T20518一2006中5.2.3.2.19的内容对开发者的要求开发者应提供文档.针对所颁发的数字证书格式进行说明测试评价指南 a)如果公钥基础设施支持企业工商注册号扩展项,则此项为检测项,否则为非检测项; b)检测所颁发数字证书中是否包含企业工商注册号项检测证书中企业工商注册号项的格式,内容是否和标准一致 C 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.20企业组织机构代码OrganizationCode 评价内容见GB/T20518一2006中5.2.3.2.20的内容对开发者的要求: 开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: a)如果公钥基础设施支持企业组织机构代码扩展项,则此项为检测项,否则为非检测项 b检测所颁发数字证书中是否包含企业组织机构代码项; 检测证书中企业组织机构代码项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.1.21企业税号TaxationNumber 评价内容见GB/T205182006中5.2.3.2.21的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南如果公钥基础设施支持企业税号扩展项,则此项为检测项,否则为非检测项; a b检测所颁发数字证书中是否包含企业税号项检测证书中企业税号项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.4.3.2 专用因特网扩展PrivatelnternetExtensions sid-pkix 4.4.3.2.1机构信息访问 rityInfoA auth01 cceSS 评价内容 24
GB/I30272一2013 见GB/T20518一2006中5.2.3.3.1的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南: a)如果公钥基础设施支持机构信息访问扩展项,则此项为检测项,否则为非检测项 b) 检测所颁发数字证书中是否包含机构信息访问项; 检测证书中机构信息访问项的格式,内容是否和标准一致 c 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 44.3.2.2主体信息访问subieetnformationAccess 评价内容见GB/T205182006中5.2.3.3.2的内容对开发者的要求开发者应提供文档,针对所颁发的数字证书格式进行说明测试评价指南如果公钥基础设施支持主体信息访问扩展项,则此项为检测项,否则为非检测项 a b)检测所颁发数字证书中是否包含主体信息访问项; 检测证书中主体信息访问项的格式、内容是否和标准一致记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.5特定权限管理中心技术规范测试评价指南 4.5.1系统相关协议 4.5.1.1代理点PA与属性注册机构ARA间的通信协议 4.5.1.1.1功能支持评价内容见GB/T20519一2006中6.1.2的内容对开发者的要求开发者应提供文档,针对协议所支持的操作功能进行说明测试评价指南 a)如代理点PA与属性注册机构ARA采用在线方式,则本项为检测项目,否则为非检测项 b)通过PA申请多个属性证书,检测ARA能否对申请的属性证书进行注册通过ARA对各种类型的注册信息进行分析、鉴别,检测ARA能否给予认可或不认可的决定; C 检测ARA能否对注册信息进行修改; dD 检测ARA能否对已经生效的有效证书进行撤销 e 记录测试结果排对该结果是否完全符合上进测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.5.1.1.2PA与ARA之间的认证机制评价内容 25
GB/T30272一2013 见GB/T20519一2006中6.1.3的内容对开发者的要求开发者应提供文档,针对PA与ARA之间的认证机制进行说明测试评价指南: 如代理点PA与属性注册机构ARA采用在线方式,则本项为检测项目,否则为非检测项 b)根据开发者提供的文档,检测PA与ARA之间是否采用安全认证机制以合法的实体身份请求属性证书,检测ARA能否对请求的实体身份进行强鉴别 d)检测PA与ARA之间的强鉴别机制是否符合GB/20519一2006附录B中B.1的要求; 以非法的实体身份请求属性证书,检测ARA能否对请求的实体身份进行强鉴别 a 记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.5.1.1.3PA数据签名评价内容见GB/T205192006中6.1.4的内容对开发者的要求: 开发者应提供文档,针对PA提交数据的签名过程进行说明测试评价指南如代理点PA与属性注册机构ARA采用在线方式,则本项为检测项目,否则为非检测项; a b 检测PA是否对提交的数据,进行数字签名; 检测签名数据的内容是否符合GB/T20519-2006附录B中B,2的要求; d)检测接收者是否验证所提交数据的签名记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断如果以上结果全部正确,则本项满足 4.5.1.2属性注册机构ARA与属性授权机构AA间的通信协议评价内容见GB/T20519一2006中6.2的内容对开发者的要求开发者应提供文档,针对ARA与AA间的通信协议进行说明测试评价指南 a)如属性注册机构ARA与属性授权机构AA采用在线申请方式.则本项为检测项目,否则为非检测项; b)检测AA和ARA之间,是否采用双向强鉴别机制进行网络连接检测AA和ARA之间的双向强鉴别机制是否符合GB/T205192006附录B中B.4的要求: c d)由ARA向AA提交一个属性证书的签发请求,检测请求的内容是否包括;标识名称、待签发实体公钥证书,实体属性集、待签发实体对实体属性集的签名和由请求证书实体对上述内容的完整签名; 检测AA是否请求实体进行鉴别检测AA是否验证签发实体的公钥证书 f g检测AA是否验证实体签名; 26

信息安全技术公钥基础设施标准一致性测试评价指南GB/T30272-2013的重要性

信息安全技术作为现代社会中非常重要的一个领域，其发展对于保障国家安全和促进经济发展具有至关重要的作用。而公钥基础设施则是信息安全技术中的一个重要分支，在电子商务、电子政务、网络金融等领域中应用广泛。

然而，由于公钥基础设施技术涉及到用户身份验证、数据加密、数字签名等关键环节，因此必须严格按照国际标准进行设计、实现和测试。而在我国，信息安全技术公钥基础设施标准一致性测试评价指南GB/T30272-2013就是针对公钥基础设施技术的标准化要求进行规范。

GB/T30272-2013标准主要包括了公钥基础设施测试与评价的一般原则、测试与评价的基本要求、测试与评价的技术方法和测试与评价结果的表示等方面。其中，测试与评价的技术方法是这个标准中最为重要的一个部分。

根据GB/T30272-2013标准，对于公钥基础设施技术的测试与评价，应该按照以下几个步骤进行：

确定测试需求和测试目标
选择测试方法和测试工具
定义测试环境和测试用例
执行测试并记录测试结果
评价测试结果并生成测试报告

通过以上步骤，就可以对公钥基础设施技术的实现进行全面的测试与评价，并保证符合国际上的标准化要求。

总之，信息安全技术公钥基础设施标准一致性测试评价指南GB/T30272-2013的制定和实施，对于推动我国的信息安全技术发展、提高企业的信息安全水平以及保障国家安全都具有重要的作用。

信息安全技术公钥基础设施标准一致性测试评价指南的相关资料

和信息安全技术公钥基础设施标准一致性测试评价指南类似的标准

GB/T20008-2005

信息安全技术操作系统安全评估准则

2022/11/1 21:19:55 现行

GB/T20282-2006

信息安全技术信息系统安全工程管理要求

2022/11/4 23:34:29 现行

GB/T20274.1-2006

信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型

2022/11/4 22:58:45 现行

GB/T20271-2006

信息安全技术信息系统通用安全技术要求

2022/11/4 22:40:21 现行

GB/T20270-2006

信息安全技术网络基础安全技术要求

2022/11/4 22:21:58 现行

GB/T20269-2006

信息安全技术信息系统安全管理要求

2022/11/4 22:03:36 现行

GB/T20984-2007

信息安全技术信息安全风险评估规范

2022/11/3 3:32:13 现行

GB/T21054-2007

信息安全技术公钥基础设施PKI系统安全等级保护评估准则

2022/11/2 14:25:19 现行

GB/T21053-2007

信息安全技术公钥基础设施PKI系统安全等级保护技术要求

2022/11/2 14:06:56 现行

GB/T21052-2007

信息安全技术信息系统物理安全技术要求

2022/11/2 13:48:21 现行

GB/T20274.4-2008

信息安全技术信息系统安全保障评估框架第4部分：工程保障

2022/10/31 23:03:47 现行

GB/T20274.3-2008

信息安全技术信息系统安全保障评估框架第3部分：管理保障

2022/10/31 22:45:02 现行

GB/T24363-2009

信息安全技术信息安全应急响应计划规范

2022/10/24 20:35:57 现行

GB/T25062-2010

信息安全技术鉴别与授权基于角色的访问控制模型与管理规范

2022/10/30 3:45:32 现行

GB/T25069-2010

信息安全技术术语

2022/10/30 1:33:47 现行

GB/T19714-2005

信息技术安全技术公钥基础设施证书管理协议

2022/11/3 5:40:20 现行

GB/T19713-2005

信息技术安全技术公钥基础设施在线证书状态协议

2022/11/3 5:21:55 现行

GB/T19771-2005

信息技术安全技术公钥基础设施PKI组件最小互操作规范

2022/11/2 23:00:23 现行

GB/T21054-2007

信息安全技术公钥基础设施PKI系统安全等级保护评估准则

2022/11/2 14:25:19 现行

GB/T21053-2007

信息安全技术公钥基础设施PKI系统安全等级保护技术要求

2022/11/2 14:06:56 现行

GB/T25064-2010

信息安全技术公钥基础设施电子签名格式规范

2022/10/30 1:15:27 现行

GB/T26855-2011

信息安全技术公钥基础设施证书策略与认证业务声明框架

2022/10/30 13:36:10 现行

GB/T29241-2012

信息安全技术公钥基础设施PKI互操作性评估准则

2022/10/23 1:34:23 现行

GB/T29767-2013

信息安全技术公钥基础设施桥CA体系证书分级规范

2022/10/20 9:35:52 现行

GB/T30272-2013

信息安全技术公钥基础设施标准一致性测试评价指南

2022/10/22 21:07:21 现行

GB/T31508-2015

信息安全技术公钥基础设施数字证书策略分类分级规范

2022/10/28 8:08:40 现行

GB/T32213-2015

信息安全技术公钥基础设施远程口令鉴别与密钥建立规范

2022/10/19 19:34:40 现行

GB/T35285-2017

信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求

2022/8/23 19:34:25 现行

GB/T20518-2018

信息安全技术公钥基础设施数字证书格式

2022/8/13 17:50:11 现行

GB/T30272-2021

信息安全技术公钥基础设施标准符合性测评

2022/7/12 12:56:18 即将实施

GB/T15624-2011

服务标准化工作指南

2022/10/26 1:54:30 现行

GB/T20000.3-2014

标准化工作指南第3部分：引用文件

2022/11/1 16:22:31 现行

GB/T31600-2015

农业综合标准化工作指南

2022/10/27 11:56:53 现行

GB/T32170.1-2015

政务服务中心标准化工作指南第1部分：基本要求

2022/10/21 8:28:02 现行

GB/T32170.2-2015

政务服务中心标准化工作指南第2部分：标准体系

2022/10/21 8:08:56 现行

GB/T20004.1-2016

团体标准化第1部分：良好行为指南

2022/10/6 4:44:07 现行

GB/T20000.11-2016

标准化工作指南第11部分：国家标准的英文译本通用表述

2022/11/9 0:37:42 现行

GB/T20000.10-2016

标准化工作指南第10部分：国家标准的英文译本翻译通则

2022/11/9 0:28:26 现行

GB/T33000-2016

企业安全生产标准化基本规范

2022/9/26 14:58:51 现行

GB/T3533.2-2017

标准化效益评价第2部分：社会效益评价通则

2022/9/24 11:27:07 现行

GB/T3533.1-2017

标准化效益评价第1部分：经济效益评价通则

2022/9/24 11:18:29 现行

2022/8/30 5:37:27 现行

2022/8/27 21:38:10 现行

2022/8/22 3:09:37 现行

2022/8/12 11:54:53 现行

GB/T30272-2013

信息安全技术公钥基础设施标准一致性测试评价指南

2022/10/22 21:07:21 现行

声明： 本站所有资源均来源于互联网，本站仅作为观摩学习的环境，将不对任何资源负法律责任。如果无意侵犯了您的权利，请及时发送邮件到“abc@gbbz.net”，本站会第一时间进行改正或删除处理，保证您的权利！本站资源仅供学习和参考，请勿用于商业用途，并请于下载后24小时内删除，否则产生的一切后果将由您承担！

GB/T30272-2013

信息安全技术公钥基础设施标准一致性测试评价指南

Informationsecuritytechnology—PublicKeyInfrastructure—Testingandevaluationguideonstandardconformance

以图片形式预览信息安全技术公钥基础设施标准一致性测试评价指南

信息安全技术公钥基础设施标准一致性测试评价指南

信息安全技术公钥基础设施标准一致性测试评价指南GB/T30272-2013的重要性

信息安全技术公钥基础设施标准一致性测试评价指南的相关资料

和信息安全技术公钥基础设施标准一致性测试评价指南类似的标准

相关推荐

网络代理服务器的安全技术要求

信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型

信息安全技术信息系统通用安全技术要求

信息安全技术网络基础安全技术要求

信息安全技术信息系统安全管理要求

标签